CN113127896B - 基于独立加密芯片的数据处理方法及设备 - Google Patents
基于独立加密芯片的数据处理方法及设备 Download PDFInfo
- Publication number
- CN113127896B CN113127896B CN202110335266.1A CN202110335266A CN113127896B CN 113127896 B CN113127896 B CN 113127896B CN 202110335266 A CN202110335266 A CN 202110335266A CN 113127896 B CN113127896 B CN 113127896B
- Authority
- CN
- China
- Prior art keywords
- data
- storage device
- indication information
- write
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Abstract
本申请涉及计算机技术领域,具体涉及一种基于独立加密芯片的数据处理方法及设备。所述方法包括:接收到主机设备发送的数据写入指示信息和写入数据时,通过模拟存储设备的行为,根据数据写入指示信息响应主机设备;对写入数据进行加密;通过模拟主机设备的行为,将数据写入指示信息和加密后的写入数据发送给存储设备,以使存储设备响应于数据写入指示信息存储加密后的写入数据。本发明实施例能够在不需要主机CPU控制的情况下,独立对写入存储设备的数据进行加密处理。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种数据处理方法、装置、加密芯片、存储设备、主板和电子设备。
背景技术
目前普遍使用的加密芯片都是在主机设备上通过CPU的计算能力实现的,比如传统的TPM(Trusted Platform Module,可信赖平台模块)安全芯片就在服务器的主板层面上实现。
然而,由于该加密芯片需要通过主机CPU做相应的加密、解密计算,因而该加密芯片目前只能够跟采用X86架构的CPU搭配使用,而无法跟采用其他架构的CPU搭配使用,并且,该加密芯片会受到BIOS(Basic Input Output System,基本输入输出系统)的限制,必须使用相应的BIOS driver(驱动程序)才能启动。此外,在应用该加密芯片时,服务器中所有的网络和存储器件都不得不使用该加密芯片提供的同一套密钥,这会降低系统安全的坚固性。
以上陈述仅提供与本发明有关的背景信息,而不必然地构成现有技术。
发明内容
本发明针对上述不足,提供了一种数据处理方法、装置、加密芯片、存储设备、主板和电子设备,本发明实施例能够实现在不需要主机CPU控制的情况下,独立对写入存储设备的数据进行加密处理,从而解决上述不足之处。
本发明根据第一方面提供了一种数据处理方法,在一个实施例中,该方法应用于加密芯片,加密芯片分别连接主机设备和存储设备,或者,加密芯片集成在存储设备上并连接主机设备,或者,加密芯片集成在主机设备所在的主板上并连接存储设备;该方法包括:
接收到主机设备的数据写入指示信息和写入数据时,通过模拟存储设备的行为,根据数据写入指示信息响应主机设备;
对写入数据进行加密;
通过模拟主机设备的行为,将数据写入指示信息和加密后的写入数据发送给存储设备,以使存储设备响应于数据写入指示信息存储加密后的写入数据。
在一个实施例中,该方法还包括:
接收到主机设备发送的数据读取指示信息时,通过模拟存储设备的行为,根据数据读取指示信息响应主机设备;
通过模拟主机设备的行为,将数据读取指示信息发送给存储设备;
在获得存储设备响应于数据读取指示信息反馈的读取数据之后,对读取数据进行解密;
通过模拟存储设备的行为,将解密后的读取数据反馈给主机设备。
在一个实施例中,对写入数据进行加密的步骤,包括:运行预置的加密算法生成用于加密的第一密码掩码,根据第一密码掩码对写入数据进行加密。
在一个实施例中,对读取数据进行解密的步骤,包括:运行预置的加密算法生成用于解密的第二密码掩码,根据第二密码掩码对读取数据进行解密。
在一个实施例中,加密算法包括国密算法和/或国际算法。
在一个实施例中,该方法还包括:接收用户的控制指令,对预置的加密算法进行更新。
在一个实施例中,数据写入指示信息包括数据写入命令和数据写入地址;模拟主机设备的行为,将数据写入指示信息和加密后的写入数据发送给存储设备的步骤,包括:
识别数据写入指示信息包括的数据写入命令的命令类型;
在确定数据写入命令的命令类型为存储设备能够处理的命令类型时,模拟主机设备的行为,将数据写入指示信息和加密后的写入数据发送给存储设备;
在确定数据写入命令的命令类型不为存储设备能够处理的命令类型时,将数据写入命令的命令类型处理为存储设备能够处理的命令类型,模拟主机设备的行为,将处理后的数据写入命令、数据写入地址和加密后的写入数据发送给存储设备。
在一个实施例中,数据读取指示信息包括数据读取命令和数据读取地址;模拟主机设备的行为,将数据读取指示信息发送给存储设备的步骤,包括:
识别数据读取指示信息包括的数据读取命令的命令类型;
在确定数据读取命令的命令类型为存储设备能够处理的命令类型时,模拟主机设备的行为,将数据读取指示信息发送给存储设备;
在确定数据读取命令的命令类型不为存储设备能够处理的命令类型时,将数据读取命令的命令类型处理为存储设备能够处理的命令类型,模拟主机设备的行为,将处理后的数据读取命令和数据读取地址发送给存储设备。
在一个实施例中,接收到主机设备发送的数据写入指示信息和写入数据时,通过模拟存储设备的行为,根据数据写入指示信息响应主机设备;对写入数据进行加密;通过模拟主机设备的行为,将数据写入指示信息和加密后的写入数据发送给存储设备,以使存储设备响应于数据写入指示信息存储加密后的写入数据,包括:
接收到主机设备发送的数据写入指示信息和写入数据时,确定出当前生效的工作模式,工作模式为数据处理模式、全透模式或全锁模式;
在确定当前生效的工作模式为数据处理模式时,通过模拟存储设备的行为,根据数据写入指示信息响应主机设备;对写入数据进行加密;通过模拟主机设备的行为,将数据写入指示信息和加密后的写入数据发送给存储设备,以使存储设备响应于数据写入指示信息存储加密后的写入数据。
在一个实施例中,接收到主机设备发送的数据读取指示信息时,通过模拟存储设备的行为,根据数据读取指示信息响应主机设备;通过模拟主机设备的行为,将数据读取指示信息发送给存储设备;在获得存储设备响应于数据读取指示信息反馈的读取数据之后,对读取数据进行解密;通过模拟存储设备的行为,将解密后的读取数据反馈给主机设备,包括:
接收到主机设备发送的数据读取指示信息时,确定出当前生效的工作模式,工作模式为数据处理模式、全透模式或全锁模式;
在确定当前生效的工作模式为数据处理模式时,通过模拟存储设备的行为,根据数据读取指示信息响应主机设备;通过模拟主机设备的行为,将数据读取指示信息发送给存储设备;在获得存储设备响应于数据读取指示信息反馈的读取数据之后,对读取数据进行解密;通过模拟存储设备的行为,将解密后的读取数据反馈给主机设备。
在一个实施例中,该方法还包括:
接收用户的工作模式切换指令,将当前生效的工作模式切换为与工作模式切换指令对应的工作模式;
在确定工作模式切换指令对应的工作模式为全透模式之后,在接收到任意来自主机设备的信息时,将接收到的信息发送给存储设备,以及在接收到任意来自存储设备的信息时,将接收到的信息发送给主机设备;
在确定工作模式切换指令对应的工作模式为全锁模式之后,在接收到任意来自主机设备的信息时,不将接收到的信息发送给存储设备。
在一个实施例中,加密芯片接收到的主机设备发送的数据写入指示信息和写入数据是第一加密芯片通过模拟主机设备发送给加密芯片的,第一加密芯片为串联在加密芯片和主机设备之间的与加密芯片相同的芯片,写入数据是经过第一加密芯片加密处理的数据。
在一个实施例中,加密芯片接收到的存储设备反馈的读取数据是第二加密芯片通过模拟存储设备发送给加密芯片的数据,第二加密芯片为串联在加密芯片和存储设备之间的与加密芯片相同的芯片,读取数据是经过第二加密芯片解密处理的数据。
在一个实施例中,主机设备发送的写入数据是经过集成在主机设备所在的主板上的一个或多个TPM芯片加密过的数据。
本发明根据第二方面提供了一种加密芯片,在一个实施例中,该加密芯片包括用于连接主机设备的第一接口、用于连接存储设备的第二接口、以及数据加解密模块;
数据加解密模块包括第一仿真器、加解密模块和第二仿真器;
第一仿真器,用于在获得来自主机设备的数据写入指示信息和写入数据时,模拟存储设备的行为,根据数据写入指示信息响应主机设备,以及将数据写入指示信息和写入数据发送给加解密模块;
加解密模块,用于在接收到第一仿真器发送的数据写入指示信息和写入数据后,对写入数据进行加密,并将数据写入指示信息和加密后的写入数据发送给第二仿真器;
第二仿真器,用于模拟主机设备的行为,将来自加解密模块的数据写入指示信息和加密后的写入数据发送给存储设备,以使存储设备响应于数据写入指示信息存储加密后的写入数据。
在一个实施例中,第一仿真器,还用于在获得主机设备发送的数据读取指示信息时,模拟存储设备的行为,根据数据读取指示信息响应主机设备,以及将数据读取指示信息发送给加解密模块,以使加解密模块将数据读取指示信息发送给第二仿真器;
第二仿真器,还用于模拟主机设备的行为,将来自加解密模块的数据读取指示信息发送给存储设备,以使存储设备响应于数据读取指示信息进行反馈,并在获得存储设备反馈的读取数据之后将读取数据发送给加解密模块;
加解密模块,还用于在接收到第二仿真器发送的读取数据后,对读取数据进行解密,并将解密后的读取数据发送给第一仿真器,以使第一仿真器模拟存储设备的行为,将解密后的读取数据反馈给主机设备。
在一个实施例中,加解密模块在用于对写入数据进行加密时,具体用于使用预置的加密算法对写入数据进行加密;加解密模块在用于对读取数据进行解密时,具体用于使用加密算法对读取数据进行解密。
在一个实施例中,加解密模块包括微控制单元和内置有加密算法的密钥生成器;
在加解密模块用于对写入数据进行加密时,微控制单元用于控制密钥生成器运行加密算法以生成用于加密的第一密码掩码,根据第一密码掩码对写入数据进行加密;
在加解密模块用于对读取数据进行解密时,微控制单元用于控制密钥生成器运行加密算法以生成用于解密的第二密码掩码,根据第二密码掩码对读取数据进行解密。
在一个实施例中,加密算法包括国密算法和/或国际算法。
在一个实施例中,加密芯片还包括控制端口和特殊目的模块;特殊目的模块用于通过控制端口接收用户的控制指令,对预置的加密算法进行更新。
在一个实施例中,数据写入指示信息包括数据写入命令和数据写入地址;加解密模块在用于将数据写入指示信息和加密后的写入数据发送给第二仿真器时,具体用于:
识别数据写入指示信息包括的数据写入命令的命令类型;
在确定数据写入命令的命令类型为存储设备能够处理的命令类型时,将数据写入指示信息和加密后的写入数据发送给第二仿真器;
在确定数据写入命令的命令类型不为存储设备能够处理的命令类型时,将数据写入命令的命令类型处理为存储设备能够处理的命令类型,将数据写入地址、加密后的写入数据和处理后的数据写入命令发送给第二仿真器。
在一个实施例中,数据读取指示信息包括数据读取命令和数据读取地址;加解密模块在用于将数据读取指示信息发送给第二仿真器时,具体用于:
识别数据读取指示信息包括的数据读取命令的命令类型;
在确定数据读取命令的命令类型为存储设备能够处理的命令类型时,将数据读取指示信息发送给第二仿真器;
在确定数据读取命令的命令类型不为存储设备能够处理的命令类型时,将数据读取命令的命令类型处理为存储设备能够处理的命令类型,将处理后的数据读取命令和数据读取地址发送给第二仿真器。
在一个实施例中,主机设备包括主机中央处理器或主机总线适配器。
在一个实施例中,存储设备包括硬盘。
在一个实施例中,第一接口的数量为至少一个;其中,一个第一接口用于连接一个主机设备,一个第二接口用于连接一个存储设备。
在一个实施例中,主机设备和第一仿真器之间采用第一接口协议,存储设备和第二仿真器之间采用第二接口协议;第一接口协议与第二接口协议相同或不相同。
在一个实施例中,第一接口协议或第二接口协议为PCIe、SATA或SAS接口协议。
在一个实施例中,第一仿真器在用于接收到主机设备发送的数据写入指示信息和写入数据时,通过模拟存储设备的行为,根据数据写入指示信息响应主机设备,对写入数据进行加密,通过模拟主机设备的行为,将数据写入指示信息和加密后的写入数据发送给存储设备,以使存储设备响应于数据写入指示信息存储加密后的写入数据时,具体用于:
接收到主机设备发送的数据写入指示信息和写入数据时,确定出当前生效的工作模式,工作模式为数据处理模式、全透模式或全锁模式;
在确定当前生效的工作模式为数据处理模式时,通过模拟存储设备的行为,根据数据写入指示信息响应主机设备;对写入数据进行加密;通过模拟主机设备的行为,将数据写入指示信息和加密后的写入数据发送给存储设备,以使存储设备响应于数据写入指示信息存储加密后的写入数据。
在一个实施例中,第一仿真器在用于接收到主机设备发送的数据读取指示信息时,通过模拟存储设备的行为,根据数据读取指示信息响应主机设备,通过模拟主机设备的行为,将数据读取指示信息发送给存储设备,在获得存储设备响应于数据读取指示信息反馈的读取数据之后,对读取数据进行解密,通过模拟存储设备的行为,将解密后的读取数据反馈给主机设备时,具体用于:
接收到主机设备发送的数据读取指示信息时,确定出当前生效的工作模式,工作模式为数据处理模式、全透模式或全锁模式;
在确定当前生效的工作模式为数据处理模式时,通过模拟存储设备的行为,根据数据读取指示信息响应主机设备;通过模拟主机设备的行为,将数据读取指示信息发送给存储设备;在获得存储设备响应于数据读取指示信息反馈的读取数据之后,对读取数据进行解密;通过模拟存储设备的行为,将解密后的读取数据反馈给主机设备。
在一个实施例中,加密芯片还包括固件接口,加解密模块通过固件接口接收用户的工作模式切换指令,并将当前生效的工作模式切换为与工作模式切换指令对应的工作模式;
加解密模块,还用于在确定工作模式切换指令对应的工作模式为全透模式之后,在接收到任意来自主机设备的信息时,将接收到的信息发送给存储设备,以及在接收到任意来自存储设备的信息时,将接收到的信息发送给主机设备;以及用于在确定工作模式切换指令对应的工作模式为全锁模式之后,在接收到任意来自主机设备的信息时,不将接收到的信息发送给存储设备。
在一个实施例中,加密芯片接收到的主机设备发送的数据写入指示信息和写入数据是第一加密芯片通过模拟主机设备发送给加密芯片的,第一加密芯片为串联在加密芯片和主机设备之间的与加密芯片相同的芯片,写入数据是经过第一加密芯片加密处理的数据。
在一个实施例中,加密芯片接收到的存储设备反馈的读取数据是第二加密芯片通过模拟存储设备发送给加密芯片的数据,第二加密芯片为串联在加密芯片和存储设备之间的与加密芯片相同的芯片,读取数据是经过第二加密芯片解密处理的数据。
在一个实施例中,主机设备发送的写入数据是经过集成在主机设备所在的主板上的一个或多个TPM芯片加密过的数据。
本发明根据第三方面提供了一种数据处理装置,在一个实施例中,该装置分别连接主机设备和存储设备,使得主机设备和存储设备之间通过装置进行数据交互;该装置包括:
存储设备模拟模块,用于接收到主机设备发送的数据写入指示信息和写入数据时,通过模拟存储设备的行为,根据数据写入指示信息响应主机设备;
加解密模块,用于对写入数据进行加密;
主机设备模拟模块,用于通过模拟主机设备的行为,将数据写入指示信息和加密后的写入数据发送给存储设备,以使存储设备响应于数据写入指示信息存储加密后的写入数据。
在一个实施例中,存储设备模拟模块,还用于接收到主机设备发送的数据读取指示信息时,通过模拟存储设备的行为,根据数据读取指示信息响应主机设备;以及用于模拟存储设备的行为,将解密后的读取数据反馈给主机设备;
主机设备模拟模块,还用于通过模拟主机设备的行为,将数据读取指示信息发送给存储设备;
加解密模块,还用于在获得存储设备响应于数据读取指示信息反馈的读取数据之后,对读取数据进行解密。
本发明根据第四方面提供了一种存储设备,在一个实施例中,存储设备中集成了加密芯片,加密芯片在连接主机设备时,实现本发明根据第一方面提供的数据处理方法的步骤。
本发明根据第五方面提供了另一种存储设备,在一个实施例中,该存储设备中集成了本发明根据第二方面提供的加密芯片。
本发明根据第六方面提供了一种电子设备主板,在一个实施例中,该电子设备主板集成了本发明根据第二方面提供的加密芯片。
本发明根据第五方面提供了一种电子设备,在一个实施例中,该服务器包括主机设备、存储设备以及加密芯片,该加密芯片分别连接主机设备和存储设备,或者,该加密芯片集成在存储设备上并连接主机设备,或者,该加密芯片集成在主机设备所在的主板上并连接存储设备;加密芯片包括存储器、处理器及存储在存储器上并可以在处理器上运行的计算机程序,处理器执行计算机程序时实现本发明根据第一方面提供的数据处理方法的步骤。
本发明上述实施例通过模拟存储设备与主机设备进行交互以及模拟主机设备与存储设备进行交互,使得加密芯片对于主机设备和存储设备是双向透明的,这样不需要额外为加密芯片编写相应的驱动程序即可启动加密芯片,此时加密芯片可以在不需要主机CPU控制的情况下,独立对主机设备要写入存储设备的数据进行加密处理,从而该加密芯片能够与采用任意架构的CPU配合使用,扩大了该加密芯片的适用范围,并且其加密数据时不依赖主板上的TPM安全芯片,能够避免对市面上少数几家BIOS供应商和OEM集成商的依赖。此外,在应用时可以为每个存储设备配备一块加密芯片,每块加密芯片使用独立的安全密钥,这样即便某些存储设备的安全密钥遭到窃取或破解,也可以保证其他存储设备内存储的数据安全,大大提高了系统安全的坚固性。
附图说明
图1为一个实施例中一种数据处理方法的应用环境图;
图2为一个实施例中一种数据处理方法的流程示意图;
图3为一个实施例中加密芯片解密读取数据的流程示意图;
图4为一个实施例中加密芯片的内部构造示意图;
图5为一个实施例中加密芯片加密写入数据时各模块之间的交互示意图;
图6为一个实施例中加密芯片解密读取数据时各模块之间的交互示意图;
图7为一个实施例中加解密模块的内部构造示意图;
图8为一个实施例中加密芯片的一种应用方式示意图;
图9为另一个实施例中加密芯片的另一种应用方式示意图;
图10为一个实施例中一种数据处理装置的结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅用以解释本申请,并不用于限定本申请。
实施例一
本发明针对背景技术部分提到的不足提供了一种数据处理方法。在一个实施例中,该方法可以应用于如图1所示的应用环境中。在该应用环境中,将加密芯片设置在主机设备和存储设备中间,使得主机设备和存储设备间进行数据交互需要经过加密芯片,其中,该加密芯片与该主机设备和存储设备之间的连接关系可以是,加密芯片分别通过接口连接主机设备和存储设备,或是将加密芯片集成在存储设备中,然后让加密芯片通过接口连接主机设备,又或是将加密芯片集成在主机设备所在的主板上,然后让加密芯片通过接口与存储设备连接。其中,主机设备可以是主机CPU或者主机总线适配器(HBA,Host BusAdapter),存储设备可以是硬盘,如机械硬盘(HDD)或固态硬盘(SSD)等,通过加密芯片的连接使得主机设备和存储设备需要通过该加密芯片来进行数据交互,需要说明的是,虽然主机设备和存储设备之间通过加密芯片来进行数据交互,但是加密芯片对于主机设备和存储设备是双向透明的,即主机设备在与加密芯片交互时会以为在直接与存储设备进行交互,存储设备在与加密芯片交互时会以为在直接与主机设备进行交互,因为加密芯片会依据相关的接口协议,如SAS(Serial Attached SCSI,串行SCSI技术)、SATA(Serial ATA,又称为串口硬盘)、PCIe(peripheral component interconnect express,是一种高速串行计算机扩展总线标准)、NVMe(一种Host与SSD之间通讯的协议)等接口协议模拟存储设备的行为与主机设备进行交互(如进行数据/命令的交换)、以及依据相关的接口协议模拟主机设备的行为与存储设备进行交互。
由于加密芯片对于主机设备是透明的,系统在启动时,BIOS可以探测到加密芯片所连接的存储设备,但不会单独探测到该加密芯片,因而不需要为加密芯片专门编写相应的驱动程序;也由于加密芯片对于主机设备是透明的,因而加密芯片可以不受到主机设备和BIOS的控制和干预,能够独立地对来自主机设备的相关数据如要写入存储设备的数据进行加密处理,对来自存储设备的相关数据如主机设备从存储设备中读取的数据进行解密处理,从而该加密芯片能够与采用任意架构的CPU配合使用,扩大了该加密芯片的适用范围。此外,加密芯片内设有内置加密算法的功能模块,因而其加密或解密数据时不用依赖主板上的TPM安全芯片,这一方面可以避免对市面上少数几家BIOS供应商和OEM集成商的依赖,另一方面,可以在应用时为每个存储设备配备一块加密芯片,每块加密芯片使用独立的安全密钥,这样即便某些存储设备的安全密钥遭到窃取或破解,也可以保证其他存储设备的数据安全,大大提高了系统安全的坚固性,可以实现在性能没有损失的情况下把SM2/3/4等加密算法嵌入任何通用的存储设备(如机械硬盘、固态硬盘等),用以提供硬件层的数据保护能力。
本实施例提供的数据处理方法包括如图2所示的步骤,下面以该方法应用于图1中的加密芯片为例进行说明。
如图2所示,该方法包括以下步骤:
S110:接收到主机设备发送的数据写入指示信息和写入数据时,通过模拟存储设备的行为,根据数据写入指示信息响应主机设备。
S120:对写入数据进行加密。
S130:通过模拟主机设备的行为,将数据写入指示信息和加密后的写入数据发送给存储设备,以使存储设备响应于数据写入指示信息存储加密后的写入数据。
在本实施例中,通过加密芯片模拟存储设备的行为与主机设备进行交互以及模拟主机设备的行为与存储设备进行交互,使得加密芯片对于主机设备和存储设备是透明的,进而加密芯片能够不受主机设备的干预以及不依赖主板上的TPM安全芯片,独立对主机设备要写入存储设备的数据进行加密处理,即使主机CPU采用的是非X86架构,加密芯片也可以对其要写入存储设备的数据进行加密。以下对加密芯片加密数据的相关过程进行介绍。
加密芯片会在接收到主机设备发送的数据后,辨别出该来自主机设备的数据中需要进行加密处理的数据(以下称为第一数据)和无需进行加密处理的数据(以下称为第二数据),接着对第一数据进行加密处理从而得到加密的第一数据,之后模拟主机设备的行为将第二数据和该加密的第一数据发送给存储设备,存储设备会在收到第二数据和加密的第一数据后自动执行相应的数据存储操作。
在主机设备要往存储设备中写入数据的一个场景中,加密芯片获得的来自主机设备的数据可以包括数据写入指示信息和写入数据,该数据写入指示信息是无需加密芯片进行加密处理的数据,其包括数据写入命令(即CMD命令)和数据写入地址,而该写入数据是指主机设备要写入存储设备的数据,加密芯片需要对其进行加密处理,加密芯片会在对其进行加密处理后将其发送给存储设备进行存储,这样存储设备中存储的数据都是经过加密芯片加密的数据,数据的安全性可以得到保证。
进一步地,由于主机设备写入存储设备的数据都会被加密芯片进行加密处理,因而当主机设备要从存储设备读取数据时,加密芯片需要先将从存储设备读取的数据进行解密之后再反馈给主机设备。
以下对加密芯片解密读取数据的相关过程进行介绍。
如图3所示,在主机设备要从存储设备中读取数据的一个场景中,该方法还包括以下步骤:
S210:在获得来自主机设备的数据读取指示信息时,模拟存储设备的行为,根据数据读取指示信息响应主机设备;
S220:模拟主机设备的行为,将数据读取指示信息发送给存储设备;
S230:在获得存储设备响应于数据读取指示信息反馈的读取数据之后,对读取数据进行解密;
S240:模拟存储设备的行为,将解密后的读取数据反馈给主机设备。
在主机设备要从存储设备中读取数据的一个场景中,加密芯片获得的来自主机设备的数据可以包括数据读取指示信息,该数据读取指示信息是无需加密芯片进行加密处理的数据,其包括有数据读取命令(即用于指示存储设备写入数据的CMD命令)和数据读取地址。由于数据读取指示信息是无需进行加密处理的数据,因而加密芯片不需要对数据读取指示信息进行加密处理,可以直接模拟主机设备的行为将其发送给存储设备,存储设备会在接收到数据读取指示信息后向加密芯片反馈其响应于数据读取命令根据数据读取地址取得的读取数据,其中,读取数据是之前经过加密芯片加密的主机设备要写入存储设备的数据。加密芯片在获得存储设备反馈的读取数据之后,先将其进行解密处理,然后再模拟存储设备的行为将解密处理得到的解密后的读取数据反馈给主机设备,以保证主机设备能够正常使用其获得的数据。可以理解地,加密芯片对读取数据进行的解密处理对于主机设备和存储设备也是透明的。
进一步地,加密芯片对写入数据进行加密时,先运行预置的加密算法生成用于加密的第一密码掩码,然后再根据第一密码掩码对写入数据进行加密。加密芯片对读取数据进行解密时,先运行预置的加密算法生成用于解密的第二密码掩码,然后再根据第二密码掩码对读取数据进行解密。
上述的加密芯片加密写入数据或解密读取数据的相关过程中,加密芯片对写入数据进行加密时或对读取数据进行解密时所采用的内置加密算法可以根据具体应用场景来选择,本实施例对此不进行限制,比如,可以选择国密算法如SM1、SM2、SM3、SM4和/或SSF33算法来作为加密算法,也可以选择国际算法如DES算法来作为加密算法。而使用加密算法加密数据和解密数据的过程可参考所具体使用的加密算法的使用说明,在此不再赘述。
再进一步地,上述的加密芯片加密写入数据或解密读取数据的相关过程中,加密芯片在模拟存储设备与主机设备交互时采用的接口协议(以下简称为第一协议),与模拟主机设备与存储设备交互时采用的接口协议(以下简称为第二协议)是相同的,比如都是SAS、SATA或PCIe等接口协议。加密芯片采用的第一接口协议和第二接口协议也可以不相同,在存储设备的接口类型不满足系统要求时,加密芯片可以将其连接的存储设备根据系统要求模拟成另外一种接口类型的设备与主机设备进行交互(比如,系统不支持NVMe类型的固态硬盘而支持SATA类型的机械硬盘,加密芯片可以将其连接的NVMe类型的固态硬盘模拟成一个SATA类型的机械硬盘来与主机设备进行交互),之后加密芯片会在接收到主机设备的命令时,将其转换为存储设备能够识别和处理的命令,同理,加密芯片也会在接收到存储设备的命令时,将其转换为主机设备能够识别和处理的命令。
比如,在主机设备要在存储设备中写入数据的一个场景中,加密芯片通过模拟主机设备的行为,将数据写入指示信息和加密后的写入数据发送给存储设备的步骤,包括:识别数据写入指示信息包括的数据写入命令的命令类型;在确定数据写入命令的命令类型为存储设备能够处理的命令类型时,通过模拟主机设备的行为将数据写入指示信息和加密后的写入数据发送给存储设备;在确定数据写入命令的命令类型不为存储设备能够处理的命令类型时,将数据写入命令的命令类型处理为存储设备能够处理的命令类型,通过模拟主机设备的行为将处理后的数据写入命令、数据写入地址和加密后的写入数据发送给存储设备。
又比如,在主机设备要从存储设备中读取数据的一个场景中,通过模拟主机设备的行为,将数据读取指示信息发送给存储设备的步骤,包括:识别数据读取指示信息包括的数据读取命令的命令类型;在确定数据读取命令的命令类型为存储设备能够处理的命令类型时,通过模拟主机设备的行为将数据读取指示信息发送给存储设备;在确定数据读取命令的命令类型不为存储设备能够处理的命令类型时,将数据读取命令的命令类型处理为存储设备能够处理的命令类型,通过模拟主机设备的行为将处理后的数据读取命令和数据读取地址发送给存储设备。
在上述场景中,加密芯片采用的第一接口协议和第二接口协议不相同,主机设备发送给加密芯片的数据写入命令和数据读取命令是其依据第一接口协议生成的,存储设备无法处理该数据写入命令和数据读取命令,因此加密芯片需要依据第二接口协议将数据写入命令和数据读取命令转换为存储设备能够处理的命令,从而存储设备能够成功响应数据写入命令或数据读取命令进行后续的存储数据或读取数据的相关操作,这样一方面能够提高系统的兼容性,另一方面可以增强存储设备的独立性,它的使用/部署不受主机CPU,BIOS厂商的限制,而完全由存储设备提供厂商直接向使用存储设备的客户提供服务,包括某些定制化的服务。
更进一步地,加密芯片所连接的主机设备、存储设备的数量可以根据不同应用场景的需求来调整,比如,使用加密芯片连接一个主机设备和一个存储设备,或是连接多个主机设备和一个存储设备(比如在双路(Dual Processor)服务器中可以连接两个CPU)。
在另一个实施方式中,该加密芯片可以带有三种工作模式:全透模式、数据处理模式及全锁模式。加密芯片数据处理模式下的相关处理过程即为本实施例上述内容,在此不再赘述。而加密芯片在全透模式下,其不起任何加密解密作用而成为主机设备和存储设备之间完全的通路,主机设备可以对存储设备直接读写的操作。而在全锁模式下,则是完全切断主机设备与存储设备之间的连接。全透及全锁模式可在特殊的场景下应用,比如全透模式可以用在当用户(或客户)需要关掉加密/解密功能对存储器直接读写的场景,如系统调试、故障诊断或使用其它加密手段时,全锁模式能够最大限度地保护重要数据,因而可以用于当用户需要完全阻断任何机器对存储设备的读写的场景,如在发现外界企图恶意读写存储设备的时候,或在转移或保存存储设备的时候。
进一步地,在又一个实施方式中,加密芯片接收到的主机设备发送的数据写入指示信息和写入数据是第一加密芯片通过模拟主机设备发送给加密芯片的,第一加密芯片为串联在加密芯片和主机设备之间的与加密芯片相同的芯片,写入数据是经过第一加密芯片加密处理的数据。
另一个实施方式中,加密芯片接收到的存储设备反馈的读取数据是第二加密芯片通过模拟存储设备发送给加密芯片的数据,第二加密芯片为串联在加密芯片和存储设备之间的与加密芯片相同的芯片,读取数据是经过第二加密芯片解密处理的数据。
在对数据安全具有极高要求的情况下,可以将加密芯片在结构上叠加使用,实现多重加密。比如,在主机设备和存储设备之间物理串联多个(如2个、3个、4个,甚至更多)加密芯片,(芯片数量本实施方式不进行限定,可由用户根据实际需求确定),其中,每个加密芯片的工作过程跟本实施例上述内容是相同的,因为每个加密芯片都能够模拟主机设备和存储设备,因而,对于任一个加密芯片而言,不知道其连接的主机设备(或存储设备)是真正的主机设备还是模拟成主机设备(或存储设备)的另一个加密芯片。因此,可以理解,在这种情况下,加密芯片接收到的主机设备发送的数据写入指示信息和写入数据可能并不是直接来自主机设备,而是由与其直接串联的另一加密芯片(即第一加密芯片)模拟成主机设备发送的,此时该写入数据是经过该另一加密芯片加密处理过的数据(加密处理的过程请参见上述内容);同理,加密芯片接收到的存储设备反馈的读取数据可能并不是直接来自存储设备,而是由与其直接串联的另一加密芯片模拟成存储设备(即第二加密芯片)发送的,此时该读取数据是经过该另一加密芯片解密处理过的数据(解密处理的过程请参见上述内容);并且,此时不同加密芯片所使用的加密算法可以相同也可以不同,不相同的话可以再提高最终写入存储设备中的数据的安全性。
进一步地,加密芯片与包括X86架构在内的各种CPU兼容,可与已有的主板上的各种TPM芯片串联使用,从而实现双重加密,也就是说,此时任一个加密芯片接收到的写入数据其实已经是经过TPM芯片加密过的数据(加密芯片接收到的数据是否经过TPM芯片或者其他加密芯片的加密处理,不会影响到加密芯片自身的工作过程)。
加密芯片叠加使用时,还可以跟TPM芯片串联使用,以进一步提高数据的安全性。可以理解地,在这种场景中,加密芯片不影响固有的主机设备及存储设备的已有的运作方式,叠加时无需任何额外的配合过程,叠加的加密芯片自动对数据流进行多层加密解密。这个过程就像在电路上串联多个整流器一样直接。
图2和图3为本实施例中数据处理方法的流程示意图。应该理解的是,虽然图2和图3的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2和图3中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
实施例二
基于与实施例一相同的发明构思,本发明还提供了一种加密芯片,在应用时,可将加密芯片设置在主机设备和存储设备中间,使得主机设备和存储设备间进行数据交互需要经过加密芯片,其中,该加密芯片与该主机设备和存储设备之间的连接关系可以是,加密芯片分别通过接口连接主机设备和存储设备,或是将加密芯片集成在存储设备中,然后让加密芯片通过接口连接主机设备,又或是将加密芯片集成在主机设备所在的主板上,然后让加密芯片通过接口与存储设备连接。
在一个实施例中,加密芯片分别通过接口连接主机设备和存储设备,如图4所示,加密芯片设有第一接口、第二接口和数据加解密模块,其中,该第一接口用于连接主机设备,该第二接口用于连接存储设备,数据加解密模块可以依据相关协议来模拟存储设备的行为来通过该第一接口与主机设备进行数据交互、还可以依据相关协议模拟主机设备的行为来通过该第二接口与存储设备进行数据交互以及对来自主机设备的写入数据进行加密处理、对来自存储设备的读取数据进行解密处理。如图4所示,数据加解密模块具体包括第一仿真器、加解密模块和第二仿真器等硬件,第一仿真器用于模拟存储设备的行为来通过该第一接口与主机设备进行数据交互(或者说是模拟存储设备的行为来与主机设备进行数据交互,数据交互需要通过第一接口来进行),第二仿真器用于模拟主机设备的行为来通过该第二接口与存储设备进行数据交互,加解密模块用于对来自主机设备的写入数据进行加密处理、对来自存储设备的读取数据进行解密处理。其中,第一仿真器能够辨别出主机设备发送的数据写入指示信息(或数据读取指示信息)并依据第一接口协议(即其与主机设备之间进行数据交互所采用的协议)来模拟存储设备的行为对主机设备作出响应(比如回复device busy状态),使得主机设备以为其在直接与存储设备进行数据交互,同理,第二仿真器能够辨别出存储设备发送的数据并依据第二接口协议(即其与存储设备之间进行数据交互所采用的协议)模拟主机设备的行为对存储设备发送的数据作出响应,使得存储设备以为其在直接与主机设备进行数据交互。
以下对不同场景中第一仿真器、加解密模块和第二仿真器之间的交互过程进行介绍。
在主机设备要在存储设备中写入数据的场景中,第一仿真器、加解密模块和第二仿真器之间的交互过程请参见图5。如图5所示:
第一仿真器,用于在获得来自主机设备的数据写入指示信息和写入数据时,通过模拟存储设备的行为根据数据写入指示信息响应主机设备,以及将数据写入指示信息和写入数据发送给加解密模块;(关于数据写入指示信息和写入数据的说明可参考实施例一中的相关说明,在此不进行赘述)
加解密模块,用于在接收到第一仿真器发送的数据写入指示信息和写入数据后,对写入数据进行加密,并将数据写入指示信息和加密后的写入数据发送给第二仿真器;
第二仿真器,用于通过模拟主机设备的行为将来自加解密模块的数据写入指示信息和加密后的写入数据发送给存储设备,以使存储设备响应于数据写入指示信息存储加密后的写入数据。
在本实施例中,通过第一仿真器模拟存储设备的行为与主机设备进行交互以及通过第二仿真器模拟主机设备的行为与存储设备进行交互,使得加解密模块对于主机设备和存储设备是透明的,主机设备和存储设备双方都以为是在和对方直接进行数据交互,进而加解密模块能够不受主机设备的干预以及不依赖主板上的TPM安全芯片,独立对主机设备要写入存储设备的数据进行加密处理,即使主机CPU采用的是非X86架构,加密芯片也可以对其要写入存储设备的数据进行加密。
而在主机设备要从存储设备中读取数据的场景中,第一仿真器、加解密模块和第二仿真器之间的交互过程请参见图6。如图6所示:
第一仿真器,还用于在获得主机设备发送的数据读取指示信息时,通过模拟存储设备的行为根据数据读取指示信息响应主机设备,以及将数据读取指示信息发送给加解密模块,以使加解密模块将数据读取指示信息发送给第二仿真器;
第二仿真器,还用于通过模拟主机设备的行为将来自加解密模块的数据读取指示信息发送给存储设备,以使存储设备响应于数据读取指示信息进行反馈,并在获得存储设备反馈的读取数据之后将读取数据发送给加解密模块;(关于数据读取指示信息和读取数据的说明可参考实施例一中的相关说明,在此不进行赘述)
加解密模块,还用于在接收到第二仿真器发送的读取数据后,对读取数据进行解密,并将解密后的读取数据发送给第一仿真器,以使第一仿真器通过模拟存储设备的行为将解密后的读取数据反馈给主机设备。
在本实施例中,由于数据读取指示信息是无需进行加密处理的数据,因而加解密模块不需要对数据读取指示信息进行加密处理,可以直接发送给第二仿真器,由第二仿真器模拟主机设备的行为将其发送给存储设备,存储设备会在接收到数据读取指示信息后向第二仿真器反馈其响应于数据读取命令根据数据读取地址取得的读取数据。第二仿真器收到读取数据后,可以依据其与存储设备进行数据交互的协议向存储设备作出响应,然后将读取数据发送给加解密模块。加解密模块在获得读取数据之后,先将其进行解密处理,然后再将解密处理得到的解密后的读取数据发送给第一仿真器,由第一仿真器通过模拟存储设备的行为来将解密后的读取数据反馈给主机设备,以保证主机设备能够正常使用其获得的数据。
进一步地,加解密模块在用于对写入数据进行加密时,具体用于使用预置的加密算法对写入数据进行加密,在用于对读取数据进行解密时,具体用于使用该加密算法对读取数据进行解密。
以下对加解密模块的数据加密/解密的过程做进一步的介绍。
如图7所示,加解密模块内包括有微控制单元(MCU)和内置有加密算法的密钥生成器,密钥生成器用于生成加密或解密用的密码掩码,可能地,其可以是TPM(TrustedPlatform Module,可信赖平台模块)模块。在加解密模块用于对写入数据进行加密时,微控制单元用于控制密钥生成器运行加密算法以生成用于加密的第一密码掩码,根据第一密码掩码对写入数据进行加密;在加解密模块用于对读取数据进行解密时,微控制单元用于控制密钥生成器运行加密算法以生成用于解密的第二密码掩码,根据第二密码掩码对读取数据进行解密。
在图7中,在加解密模块收到第一仿真器的数据写入指示信息或者数据读取指示信息后,(在第一接口协议和第二接口协议相同时)不对其进行处理直接发送给第二仿真器,而在收到第一仿真器的写入数据或收到第二仿真器的读取数据时,控制密钥生成器产生用于加密或解密的密码掩码并发送到数据通路中,并在数据通路中对写入数据进行加密或对读取数据进行解密,之后将加密后的写入数据发送给第二仿真器或将解密后的读取数据发送给第一仿真器。
进一步地,上述的加解密模块加密写入数据或解密读取数据所采用的加密算法可以根据具体应用场景来选择,本实施例对此不进行限制,比如,可以选择国密算法如SM1、SM2、SM3、SM4和/或SSF33算法来作为加密算法,也可以选择国际算法如DES算法来作为加密算法。而使用加密算法加密数据和解密数据的过程可参考所具体使用的加密算法的使用说明,在此不再赘述。
再进一步地,在第一接口协议和第二接口协议不相同的场景(本场景的说明可参见实施例一中的相关说明)中,由加解密模块将数据写入命令和数据读取命令转换为存储设备能够处理命令。
在主机设备要在存储设备中写入数据的一个场景中,加解密模块在用于将数据写入指示信息和加密后的写入数据发送给第二仿真器时,具体用于:识别数据写入指示信息包括的数据写入命令的命令类型;在确定数据写入命令的命令类型为存储设备能够处理的命令类型时,将数据写入指示信息和加密后的写入数据发送给第二仿真器;在确定数据写入命令的命令类型不为存储设备能够处理的命令类型时,将数据写入命令的命令类型处理为存储设备能够处理的命令类型,将数据写入地址、加密后的写入数据和处理后的数据写入命令发送给第二仿真器。
而在主机设备要从存储设备中读取数据的一个场景中,加解密模块在用于将数据读取指示信息发送给第二仿真器时,具体用于:识别数据读取指示信息包括的数据读取命令的命令类型;在确定数据读取命令的命令类型为存储设备能够处理的命令类型时,将数据读取指示信息发送给第二仿真器;在确定数据读取命令的命令类型不为存储设备能够处理的命令类型时,将数据读取命令的命令类型处理为存储设备能够处理的命令类型,将处理后的数据读取命令和数据读取地址发送给第二仿真器。
在上述场景中,第一接口协议和第二接口协议不相同,主机设备发送给的数据写入命令和数据读取命令是其依据第一接口协议生成的,存储设备无法处理该数据写入命令和数据读取命令,因此通过加密芯片内的加解密模块依据第二接口协议将数据写入命令和数据读取命令转换为存储设备能够处理的命令,从而存储设备能够成功响应数据写入命令或数据读取命令进行后续的存储数据或读取数据的相关操作,这样一方面能够提高系统的兼容性,另一方面可以增强存储设备的独立性,它的使用/部署不受主机CPU,BIOS厂商的限制,而完全由存储设备提供厂商直接向使用存储设备的客户提供服务,包括某些定制化的服务。
再进一步地,本实施例中的第一接口或第二接口的接口类型可以包括但不限于是PCIe、SATA、SAS等接口类型,第一接口和/或第二接口的数量为至少一个,通常一个第一接口用于连接一个主机设备,一个第二接口用于连接一个存储设备。需要说明的是,加密芯片通过与主机设备连接的方式可以有多种,只要能够实现主机设备要向存储设备写入数据或读取数据时需要经过加密芯片即可,比如,可以是将加密芯片通过接口连接主机设备、还可以是将加密芯片集成到主机设备所在主板中的接口协议转接芯片所在的电路板。
在特殊场景中可以设置多个第二接口来连接一个存储设备,比如为了满足SAS接口所需要的冗余通道可以为加密芯片设置两个第二接口来连接一个存储设备。还可能地,一个第一接口可以连接多个主机设备,比如,计算设备中包括多个CPU,这些CPU都连接到一条总线,而加密芯片通过一个第一接口连接到该总线,以此与多个CPU连接。
在一个实施方式中,加密芯片还设有控制端口,加解密模块中还包括特殊目的模块,其是一个基于SPI(Serial Peripheral interface,串行外围设备接口)接口协议的控制模块(该模块也可以采用GPIO接口协议或者其他类型的由厂商自定义的特殊协议),用于进行密钥管理和用户认证,只要主机设备如CPU或其他类型Host设备有公钥,就可以来访问存储设备并解密存储设备内的数据,还可以用于接受和执行用户通过该控制端口发出的特殊控制指令(比如,可以包括但不限于是用于重新生成密钥对的控制指令、用于获取新生成的公钥的控制指令、提供用户的公钥的控制指令、更新固件的控制指令、更新加密算法的控制指令等)。
在另一个实施方式中,对加密芯片可能的使用方式进行介绍。如图8所示,为了方便使用,可以在存储设备出厂前将加密芯片的第二接口集成到存储设备中,比如直接由存储产品原厂将加密芯片集成到硬盘PCBA(Printed Circuit Board Assembly),这样在使用时只需将加密芯片的第一接口与主机设备的相关接口连接即可使用;如图9所示,可以将加密芯片的第一接口集成到主板中接口协议转接芯片所在的电路板,这样可以避免改动硬盘设备本身,在使用时只需将加密芯片的第二接口与存储设备的相关接口连接即可使用;加密芯片也可以不集成在主板或者存储设备中,使用时通过第一接口与主机设备的相关接口连接以及通过第二接口与存储设备的相关接口连接即可使用。
在又一实施方式中,该加密芯片可以带有三种工作模式:全透模式、数据处理模式及全锁模式,加密芯片中可以设置提供给用户的固件接口,从而加解密模块可以通过固件接口接收用户的工作模式切换指令,并将当前生效的工作模式切换为与工作模式切换指令对应的工作模式,具体地,记录当前生效的工作模式的信息可以记录在设置于微控制处理器中的指定记录器中,该切换指令可以直接发送给微控制处理器,从而由微控制处理器更新指定记录器中的相关信息以实现工作模式的切换,关于各模式的其他说明请参见实施例一。而通过上述实施例一可知,可以将加密芯片在结构上叠加使用,和/或与主板上已有的TPM芯片串联使用,即使用多重加密,具体的实现细节请参见实施例一。
实施例三
基于与实施例一相同的发明构思,本发明还提供了一种数据处理装置。在一个实施例中,该装置分别连接主机设备和存储设备,使得主机设备和存储设备之间通过装置进行数据交互,如图10所示,该数据处理装置包括以下模块:
存储设备模拟模块110,用于在获得来自主机设备的数据写入指示信息和写入数据时,通过模拟存储设备的行为,根据数据写入指示信息响应主机设备;
加解密模块120,用于对写入数据进行加密;
主机设备模拟模块130,用于通过模拟主机设备的行为,将数据写入指示信息和加密后的写入数据发送给存储设备,以使存储设备响应于数据写入指示信息存储加密后的写入数据。
在一个实施方式中,存储设备模拟模块110,还用于在获得来自主机设备的数据读取指示信息时,通过模拟存储设备的行为,根据数据读取指示信息响应主机设备;以及用于通过模拟存储设备的行为,将解密后的读取数据反馈给主机设备;
主机设备模拟模块130,还用于通过模拟主机设备的行为,将数据读取指示信息发送给存储设备;
加解密模块120,还用于在获得存储设备响应于数据读取指示信息反馈的读取数据之后,对读取数据进行解密。
在一个实施方式中,加解密模块在用于对写入数据进行加密时,具体用于运行预置的加密算法生成用于加密的第一密码掩码,根据第一密码掩码对写入数据进行加密。加解密模块在用于对读取数据进行解密时,具体用于运行预置的加密算法生成用于解密的第二密码掩码,根据第二密码掩码对读取数据进行解密。加密算法包括国密算法和/或国际算法。
在一个实施方式中,数据写入指示信息包括数据写入命令和数据写入地址。主机设备模拟模块,包括:
命令类型识别模块,用于识别数据写入指示信息包括的数据写入命令的命令类型;
第一主机设备模拟子模块,用于在确定数据写入命令的命令类型为存储设备能够处理的命令类型时,通过模拟主机设备的行为,将数据写入指示信息和加密后的写入数据发送给存储设备;
第二主机设备模拟子模块,用于在确定数据写入命令的命令类型不为存储设备能够处理的命令类型时,将数据写入命令的命令类型处理为存储设备能够处理的命令类型,通过模拟主机设备的行为,将处理后的数据写入命令、数据写入地址和加密后的写入数据发送给存储设备。
在一个实施方式中,数据读取指示信息包括数据读取命令和数据读取地址。命令类型识别模块,还用于识别数据读取指示信息包括的数据读取命令的命令类型;
第一主机设备模拟子模块,还用于在确定数据读取命令的命令类型为存储设备能够处理的命令类型时,通过模拟主机设备的行为,将数据读取指示信息发送给存储设备;
第二主机设备模拟子模块,还用于在确定数据读取命令的命令类型不为存储设备能够处理的命令类型时,将数据读取命令的命令类型处理为存储设备能够处理的命令类型,通过模拟主机设备的行为,将处理后的数据读取命令和数据读取地址发送给存储设备。
关于数据处理装置的具体限定可以参见上文中对于数据处理方法的限定,在此不再赘述。上述数据处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
实施例四
本发明提供了一种存储设备,在本实施例一个实施方式中,存储设备中集成了加密芯片(加密芯片的数量可以是多个,加密芯片之间是串联),加密芯片在连接主机设备时,实现上述实施例一提供的数据处理方法的步骤;在另一个实施方式中,该存储设备中集成了上述实施例二提供的加密芯片。
实施例五
本发明提供了一种电子设备(比如可以是服务器、笔记本、个人电脑等计算设备),在本实施例一种实施方式中,该电子设备包括主机设备、存储设备以及加密芯片,其中,该加密芯片分别连接主机设备和存储设备,或者,该加密芯片集成在存储设备上并连接主机设备,又或者,该加密芯片集成在主机设备所在的主板上并连接存储设备;加密芯片包括存储器、处理器及存储在存储器上并可以在处理器上运行的计算机程序,处理器执行计算机程序时实现本发明根据第一方面提供的数据处理方法的步骤;在另一种实施方式中,该服务器则包括了上述实施例四提供的存储设备。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (37)
1.一种数据处理方法,其特征在于,所述方法应用于加密芯片;所述加密芯片分别连接主机设备和存储设备,或者,所述加密芯片集成在存储设备上并连接主机设备,或者,所述加密芯片集成在主机设备所在的主板上并连接存储设备;所述方法包括:
接收到所述主机设备发送的数据写入指示信息和写入数据时,通过模拟所述存储设备的行为,根据所述数据写入指示信息响应所述主机设备;所述数据写入指示信息包括数据写入命令和数据写入地址;
对所述写入数据进行加密;
通过模拟所述主机设备的行为,将所述数据写入指示信息和加密后的写入数据发送给所述存储设备,以使所述存储设备响应于所述数据写入指示信息存储所述加密后的写入数据;
所述通过模拟所述主机设备的行为,将所述数据写入指示信息和加密后的写入数据发送给所述存储设备,包括:
识别所述数据写入指示信息包括的数据写入命令的命令类型;
在确定所述数据写入命令的命令类型为所述存储设备支持的命令类型时,模拟所述主机设备的行为,将所述数据写入指示信息和加密后的写入数据发送给所述存储设备;
在确定所述数据写入命令的命令类型不为所述存储设备能够处理的命令类型时,表明所述存储设备的接口类型不满足系统要求,将所述数据写入命令的命令类型处理为所述存储设备能够处理的命令类型,模拟所述主机设备的行为,将处理后的数据写入命令、所述数据写入地址和加密后的写入数据发送给所述存储设备。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
接收到所述主机设备发送的数据读取指示信息时,通过模拟所述存储设备的行为,根据所述数据读取指示信息响应所述主机设备;
通过模拟所述主机设备的行为,将所述数据读取指示信息发送给所述存储设备;
在获得所述存储设备响应于所述数据读取指示信息反馈的读取数据之后,对所述读取数据进行解密;
通过模拟所述存储设备的行为,将解密后的读取数据反馈给所述主机设备。
3.如权利要求1所述的方法,其特征在于,所述对所述写入数据进行加密的步骤,包括:运行预置的加密算法生成第一密码掩码,根据所述第一密码掩码对所述写入数据进行加密。
4.如权利要求2所述的方法,其特征在于,所述对所述读取数据进行解密的步骤,包括:运行预置的加密算法生成用于解密的第二密码掩码,根据所述第二密码掩码对所述读取数据进行解密。
5.如权利要求3或4所述的方法,其特征在于,所述加密算法包括国密算法和/或国际算法。
6.如权利要求5所述的方法 ,其特征在于,所述方法还包括:
接收用户的控制指令,对所述预置的加密算法进行更新。
7.如权利要求2所述的方法,其特征在于,所述数据读取指示信息包括数据读取命令和数据读取地址;所述通过模拟所述主机设备的行为,将所述数据读取指示信息发送给所述存储设备的步骤,包括:
识别所述数据读取指示信息包括的数据读取命令的命令类型;
在确定所述数据读取命令的命令类型为所述存储设备能够处理的命令类型时,模拟所述主机设备的行为,将所述数据读取指示信息发送给所述存储设备;
在确定所述数据读取命令的命令类型不为所述存储设备能够处理的命令类型时,将所述数据读取命令的命令类型处理为所述存储设备能够处理的命令类型,模拟所述主机设备的行为,将处理后的数据读取命令和所述数据读取地址发送给所述存储设备。
8.如权利要求1所述的方法,其特征在于,所述接收到所述主机设备发送的数据写入指示信息和写入数据时,通过模拟所述存储设备的行为,根据所述数据写入指示信息响应所述主机设备;对所述写入数据进行加密;通过模拟所述主机设备的行为,将所述数据写入指示信息和加密后的写入数据发送给所述存储设备,以使所述存储设备响应于所述数据写入指示信息存储所述加密后的写入数据,包括:
接收到所述主机设备发送的数据写入指示信息和写入数据时,确定出当前生效的工作模式,所述工作模式为数据处理模式、全透模式或全锁模式;
在确定当前生效的工作模式为数据处理模式时,通过模拟所述存储设备的行为,根据所述数据写入指示信息响应所述主机设备;对所述写入数据进行加密;通过模拟所述主机设备的行为,将所述数据写入指示信息和加密后的写入数据发送给所述存储设备,以使所述存储设备响应于所述数据写入指示信息存储所述加密后的写入数据。
9.如权利要求2所述的方法,其特征在于,所述接收到所述主机设备发送的数据读取指示信息时,通过模拟所述存储设备的行为,根据所述数据读取指示信息响应所述主机设备;通过模拟所述主机设备的行为,将所述数据读取指示信息发送给所述存储设备;在获得所述存储设备响应于所述数据读取指示信息反馈的读取数据之后,对所述读取数据进行解密;通过模拟所述存储设备的行为,将解密后的读取数据反馈给所述主机设备,包括:
接收到所述主机设备发送的数据读取指示信息时,确定出当前生效的工作模式,所述工作模式为数据处理模式、全透模式或全锁模式;
在确定当前生效的工作模式为数据处理模式时,通过模拟所述存储设备的行为,根据所述数据读取指示信息响应所述主机设备;通过模拟所述主机设备的行为,将所述数据读取指示信息发送给所述存储设备;在获得所述存储设备响应于所述数据读取指示信息反馈的读取数据之后,对所述读取数据进行解密;通过模拟所述存储设备的行为,将解密后的读取数据反馈给所述主机设备。
10.如权利要求1所述的方法,其特征在于,所述方法还包括:
接收用户的工作模式切换指令,将当前生效的工作模式切换为与所述工作模式切换指令对应的工作模式;
在确定所述工作模式切换指令对应的工作模式为全透模式之后,在接收到任意来自所述主机设备的信息时,将接收到的信息发送给所述存储设备,以及在接收到任意来自所述存储设备的信息时,将接收到的信息发送给所述主机设备;
在确定所述工作模式切换指令对应的工作模式为全锁模式之后,在接收到任意来自所述主机设备的信息时,不将接收到的信息发送给所述存储设备。
11.如权利要求1所述的方法,其特征在于,所述加密芯片接收到的所述主机设备发送的数据写入指示信息和写入数据是第一加密芯片通过模拟所述主机设备发送给所述加密芯片的,所述第一加密芯片为串联在所述加密芯片和所述主机设备之间的与所述加密芯片相同的芯片,所述写入数据是经过所述第一加密芯片加密处理的数据。
12.如权利要求2所述的方法,其特征在于,所述加密芯片接收到的所述存储设备反馈的读取数据是第二加密芯片通过模拟所述存储设备发送给所述加密芯片的数据,所述第二加密芯片为串联在所述加密芯片和所述存储设备之间的与所述加密芯片相同的芯片,所述读取数据是经过所述第二加密芯片解密处理的数据。
13.如权利要求1所述的方法,其特征在于,所述主机设备发送的写入数据是经过集成在所述主机设备所在的主板上的一个或多个TPM芯片加密过的数据。
14.一种加密芯片,其特征在于,所述加密芯片包括数据加解密模块、用于连接主机设备的第一接口以及用于连接存储设备的第二接口;或者,所述加密芯片集成在存储设备上,且包括数据加解密模块以及用于连接主机设备的第一接口;或者所述加密芯片集成在主机设备所在的主板上,且包括数据加解密模块以及用于连接主存储设备的第一接口;
所述数据加解密模块包括第一仿真器、加解密模块和第二仿真器;
所述第一仿真器,用于接收到所述主机设备发送的数据写入指示信息和写入数据时,通过模拟所述存储设备的行为,根据所述数据写入指示信息响应所述主机设备,以及将所述数据写入指示信息和写入数据发送给所述加解密模块;所述数据写入指示信息包括数据写入命令和数据写入地址;
所述加解密模块,用于在接收到所述第一仿真器发送的数据写入指示信息和写入数据后,对所述写入数据进行加密,并将所述数据写入指示信息和加密后的写入数据发送给所述第二仿真器;
所述第二仿真器,用于通过模拟所述主机设备的行为,将来自所述加解密模块的数据写入指示信息和加密后的写入数据发送给所述存储设备,以使所述存储设备响应于所述数据写入指示信息存储所述加密后的写入数据;
所述加解密模块在用于将所述数据写入指示信息和加密后的写入数据发送给所述第二仿真器时,具体用于:
识别所述数据写入指示信息包括的数据写入命令的命令类型;
在确定所述数据写入命令的命令类型为所述存储设备能够处理的命令类型时,将所述数据写入指示信息和加密后的写入数据发送给所述第二仿真器;
在确定所述数据写入命令的命令类型不为所述存储设备能够处理的命令类型时,表明所述存储设备的接口类型不满足系统要求,将所述数据写入命令的命令类型处理为所述存储设备能够处理的命令类型,将所述数据写入地址、加密后的写入数据和处理后的数据写入命令发送给所述第二仿真器。
15.如权利要求14所述的加密芯片,其特征在于,所述第一仿真器,还用于接收到所述主机设备发送的数据读取指示信息时,通过模拟所述存储设备的行为,根据所述数据读取指示信息响应所述主机设备,以及将所述数据读取指示信息发送给所述加解密模块,以使所述加解密模块将所述数据读取指示信息发送给所述第二仿真器;
所述第二仿真器,还用于通过模拟所述主机设备的行为,将来自所述加解密模块的数据读取指示信息发送给所述存储设备,以使所述存储设备响应于所述数据读取指示信息进行反馈,并在获得所述存储设备反馈的读取数据之后将所述读取数据发送给所述加解密模块;
所述加解密模块,还用于在接收到所述第二仿真器发送的读取数据后,对所述读取数据进行解密,并将所述解密后的读取数据发送给所述第一仿真器,以使所述第一仿真器通过模拟所述存储设备的行为,将所述解密后的读取数据反馈给所述主机设备。
16.如权利要求15所述的加密芯片,其特征在于,所述加解密模块在用于对所述写入数据进行加密时,具体用于使用预置的加密算法对所述写入数据进行加密;
所述加解密模块在用于对所述读取数据进行解密时,具体用于使用所述加密算法对所述读取数据进行解密。
17.如权利要求16所述的加密芯片,其特征在于,所述加解密模块包括微控制单元和内置有所述加密算法的密钥生成器;
在所述加解密模块用于对所述写入数据进行加密时,所述微控制单元用于控制所述密钥生成器运行所述加密算法以生成第一密码掩码,根据所述第一密码掩码对所述写入数据进行加密;
在所述加解密模块用于对所述读取数据进行解密时,所述微控制单元用于控制所述密钥生成器运行所述加密算法以生成第二密码掩码,根据所述第二密码掩码对所述读取数据进行解密。
18.如权利要求16所述的加密芯片,其特征在于,所述加密算法包括国密算法和/或国际算法。
19.如权利要求16所述的加密芯片,其特征在于,所述加密芯片还包括控制端口和特殊目的模块;所述特殊目的模块用于通过所述控制端口接收用户的控制指令,对所述预置的加密算法进行更新。
20.如权利要求15所述的加密芯片,其特征在于,所述数据读取指示信息包括数据读取命令和数据读取地址;所述加解密模块在用于将所述数据读取指示信息发送给所述第二仿真器时,具体用于:
识别所述数据读取指示信息包括的数据读取命令的命令类型;
在确定所述数据读取命令的命令类型为所述存储设备能够处理的命令类型时,将所述数据读取指示信息发送给所述第二仿真器;
在确定所述数据读取命令的命令类型不为所述存储设备能够处理的命令类型时,将所述数据读取命令的命令类型处理为所述存储设备能够处理的命令类型,将处理后的数据读取命令和所述数据读取地址发送给所述第二仿真器。
21.如权利要求14所述的加密芯片,其特征在于,所述第一仿真器在用于接收到所述主机设备发送的数据写入指示信息和写入数据时,通过模拟所述存储设备的行为,根据所述数据写入指示信息响应所述主机设备,对所述写入数据进行加密,通过模拟所述主机设备的行为,将所述数据写入指示信息和加密后的写入数据发送给所述存储设备,以使所述存储设备响应于所述数据写入指示信息存储所述加密后的写入数据时,具体用于:
接收到所述主机设备发送的数据写入指示信息和写入数据时,确定出当前生效的工作模式,所述工作模式为数据处理模式、全透模式或全锁模式;
在确定当前生效的工作模式为数据处理模式时,通过模拟所述存储设备的行为,根据所述数据写入指示信息响应所述主机设备;对所述写入数据进行加密;通过模拟所述主机设备的行为,将所述数据写入指示信息和加密后的写入数据发送给所述存储设备,以使所述存储设备响应于所述数据写入指示信息存储所述加密后的写入数据。
22.如权利要求15所述的加密芯片,其特征在于,所述第一仿真器在用于接收到所述主机设备发送的数据读取指示信息时,通过模拟所述存储设备的行为,根据所述数据读取指示信息响应所述主机设备,通过模拟所述主机设备的行为,将所述数据读取指示信息发送给所述存储设备,在获得所述存储设备响应于所述数据读取指示信息反馈的读取数据之后,对所述读取数据进行解密,通过模拟所述存储设备的行为,将解密后的读取数据反馈给所述主机设备时,具体用于:
接收到所述主机设备发送的数据读取指示信息时,确定出当前生效的工作模式,所述工作模式为数据处理模式、全透模式或全锁模式;
在确定当前生效的工作模式为数据处理模式时,通过模拟所述存储设备的行为,根据所述数据读取指示信息响应所述主机设备;通过模拟所述主机设备的行为,将所述数据读取指示信息发送给所述存储设备;在获得所述存储设备响应于所述数据读取指示信息反馈的读取数据之后,对所述读取数据进行解密;通过模拟所述存储设备的行为,将解密后的读取数据反馈给所述主机设备。
23.如权利要求14所述的加密芯片,其特征在于,所述加密芯片还包括固件接口,所述加解密模块通过所述固件接口接收用户的工作模式切换指令,并将当前生效的工作模式切换为与所述工作模式切换指令对应的工作模式;
所述加解密模块,还用于在确定所述工作模式切换指令对应的工作模式为全透模式之后,在接收到任意来自所述主机设备的信息时,将接收到的信息发送给所述存储设备,以及在接收到任意来自所述存储设备的信息时,将接收到的信息发送给所述主机设备;以及用于在确定所述工作模式切换指令对应的工作模式为全锁模式之后,在接收到任意来自所述主机设备的信息时,不将接收到的信息发送给所述存储设备。
24.如权利要求14所述的加密芯片,其特征在于,加密芯片接收到的所述主机设备发送的数据写入指示信息和写入数据是第一加密芯片通过模拟所述主机设备发送给所述加密芯片的,所述第一加密芯片为串联在所述加密芯片和所述主机设备之间的与所述加密芯片相同的芯片,所述写入数据是经过所述第一加密芯片加密处理的数据。
25.如权利要求15所述的加密芯片,其特征在于,加密芯片接收到的所述存储设备反馈的读取数据是第二加密芯片通过模拟所述存储设备发送给所述加密芯片的数据,所述第二加密芯片为串联在所述加密芯片和所述存储设备之间的与所述加密芯片相同的芯片,所述读取数据是经过所述第二加密芯片解密处理的数据。
26.如权利要求14所述的加密芯片,其特征在于,所述主机设备发送的写入数据是经过集成在所述主机设备所在的主板上的一个或多个TPM芯片加密过的数据。
27.如权利要求14所述的加密芯片,其特征在于,所述主机设备包括主机中央处理器或主机总线适配器。
28.如权利要求14所述的加密芯片,其特征在于,所述存储设备包括硬盘。
29.如权利要求14所述的加密芯片,其特征在于,所述第一接口和/或第二接口的数量为至少一个。
30.如权利要求14所述的加密芯片,其特征在于,所述主机设备和所述第一仿真器之间采用第一接口协议,所述存储设备和所述第二仿真器之间采用第二接口协议;所述第一接口协议与所述第二接口协议相同或不相同。
31.如权利要求30所述的加密芯片,其特征在于,所述第一接口协议或第二接口协议为PCIe、SATA或SAS接口协议。
32.一种数据处理装置,其特征在于,所述数据处理装置分别连接主机设备和存储设备,或者,所述数据处理装置集成在存储设备上,并连接主机设备,或者,所述数据处理装置集成在主机设备所在的主板上,并连接存储设备;所述装置包括:
存储设备模拟模块,用于接收到所述主机设备发送的数据写入指示信息和写入数据时,通过模拟所述存储设备的行为,根据所述数据写入指示信息响应所述主机设备;所述数据写入指示信息包括数据写入命令和数据写入地址;
加解密模块,用于对所述写入数据进行加密;
主机设备模拟模块,用于通过模拟所述主机设备的行为,将所述数据写入指示信息和加密后的写入数据发送给所述存储设备,以使所述存储设备响应于所述数据写入指示信息存储所述加密后的写入数据;
主机设备模拟模块,在用于通过模拟所述主机设备的行为,将所述数据写入指示信息和加密后的写入数据发送给所述存储设备时,具体用于:识别所述数据写入指示信息包括的数据写入命令的命令类型;
在确定所述数据写入命令的命令类型为所述存储设备支持的命令类型时,模拟所述主机设备的行为,将所述数据写入指示信息和加密后的写入数据发送给所述存储设备;
在确定所述数据写入命令的命令类型不为所述存储设备能够处理的命令类型时,表明所述存储设备的接口类型不满足系统要求,将所述数据写入命令的命令类型处理为所述存储设备能够处理的命令类型,模拟所述主机设备的行为,将处理后的数据写入命令、所述数据写入地址和加密后的写入数据发送给所述存储设备。
33.如权利要求32所述的装置,其特征在于,
所述存储设备模拟模块,还用于接收到所述主机设备发送的数据读取指示信息时,通过模拟所述存储设备的行为,根据所述数据读取指示信息响应所述主机设备;以及用于通过模拟所述存储设备的行为,将解密后的读取数据反馈给所述主机设备;
所述主机设备模拟模块,还用于通过模拟所述主机设备的行为,将所述数据读取指示信息发送给所述存储设备;
所述加解密模块,还用于在获得所述存储设备响应于所述数据读取指示信息反馈的读取数据之后,对所述读取数据进行解密。
34.一种存储设备,其特征在于,所述存储设备中集成了加密芯片,所述加密芯片在连接主机设备时,实现权利要求1至13中任一项所述方法的步骤。
35.一种存储设备,其特征在于,所述存储设备上集成有如权利要求14-31所述的加密芯片。
36.一种电子设备主板,其特征在于,所述电子设备主板上集成有如权利要求14-31所述的加密芯片。
37.一种电子设备,其特征在于,所述电子设备包括主机设备、存储设备以及加密芯片,所述加密芯片分别连接所述主机设备和所述存储设备,或者,所述加密芯片集成在所述存储设备上并连接所述主机设备,或者,所述加密芯片集成在所述主机设备所在的主板上并连接所述存储设备;所述加密芯片包括存储器、处理器及存储在存储器上并可以在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现权利要求1至13中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110335266.1A CN113127896B (zh) | 2021-03-29 | 2021-03-29 | 基于独立加密芯片的数据处理方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110335266.1A CN113127896B (zh) | 2021-03-29 | 2021-03-29 | 基于独立加密芯片的数据处理方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113127896A CN113127896A (zh) | 2021-07-16 |
| CN113127896B true CN113127896B (zh) | 2022-02-22 |
Family
ID=76775414
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110335266.1A Active CN113127896B (zh) | 2021-03-29 | 2021-03-29 | 基于独立加密芯片的数据处理方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113127896B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114244511B (zh) * | 2021-12-22 | 2023-06-09 | 杭州万高科技股份有限公司 | 一种适用于dlms/cosem通信协议的加解密模块和抄表系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105354503A (zh) * | 2015-11-02 | 2016-02-24 | 上海兆芯集成电路有限公司 | 储存装置数据加解密方法 |
| CN105809068A (zh) * | 2014-12-31 | 2016-07-27 | 北京华虹集成电路设计有限责任公司 | 一种支持采用硬件加密算法的高速存储控制soc芯片 |
| CN105956496A (zh) * | 2016-06-21 | 2016-09-21 | 新昌县七星街道明盛模具厂 | 一种共享存储文件的安全保密方法 |
| CN108763971A (zh) * | 2018-08-17 | 2018-11-06 | 北京航星中云科技有限公司 | 一种数据安全存储装置及方法、移动终端 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8949980B2 (en) * | 2010-01-25 | 2015-02-03 | Exelate | Method and system for website data access monitoring |
| CN102646076B (zh) * | 2012-02-21 | 2015-04-29 | 福建伊时代信息科技股份有限公司 | 移动介质数据防泄密方法及移动介质 |
-
2021
- 2021-03-29 CN CN202110335266.1A patent/CN113127896B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105809068A (zh) * | 2014-12-31 | 2016-07-27 | 北京华虹集成电路设计有限责任公司 | 一种支持采用硬件加密算法的高速存储控制soc芯片 |
| CN105354503A (zh) * | 2015-11-02 | 2016-02-24 | 上海兆芯集成电路有限公司 | 储存装置数据加解密方法 |
| CN105956496A (zh) * | 2016-06-21 | 2016-09-21 | 新昌县七星街道明盛模具厂 | 一种共享存储文件的安全保密方法 |
| CN108763971A (zh) * | 2018-08-17 | 2018-11-06 | 北京航星中云科技有限公司 | 一种数据安全存储装置及方法、移动终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113127896A (zh) | 2021-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8272002B2 (en) | Method and system for implementing an external trusted platform module | |
| US8122172B2 (en) | Portable information security device | |
| US7203808B2 (en) | Isolation and protection of disk areas controlled and for use by virtual machine manager in firmware | |
| KR20100087336A (ko) | 판독전용 영역과 판독/기록 영역, 분리형 매체 구성부품, 시스템 관리 인터페이스, 네트워크 인터페이스를 가진 컴퓨터 기억장치 | |
| JP2006501581A (ja) | サーバ管理コプロセッササブシステム内部のtcpaによる信頼性の高いプラットフォームモジュール機能のカプセル化 | |
| CN105243344A (zh) | 具有硬盘加密功能的芯片组以及主机控制器 | |
| WO2021052191A1 (zh) | 一种计算机的启动方法和控制器、存储介质以及系统 | |
| KR20200092421A (ko) | 보안 서브시스템 | |
| US10747884B2 (en) | Techniques for coordinating device boot security | |
| CN111786820B (zh) | 固件更新方法、装置及网络设备 | |
| JP4791250B2 (ja) | マイクロコンピュータおよびそのソフトウェア改竄防止方法 | |
| KR101950512B1 (ko) | 하드웨어 보안 모듈 및 그러한 모듈 내에서의 처리 방법 | |
| CN115408707B (zh) | 一种数据传输方法、装置、系统及电子设备和存储介质 | |
| CN112241306A (zh) | 固件数据加载方法、装置、安全处理器、芯片及电子设备 | |
| CN113127896B (zh) | 基于独立加密芯片的数据处理方法及设备 | |
| CN105095020A (zh) | 适用于片上系统的系统备份与恢复装置及其方法 | |
| CN109376119B (zh) | 一种创建磁盘镜像文件加密快照、使用的方法及存储介质 | |
| US11263350B2 (en) | Cryptographic apparatus and self-test method of cryptographic apparatus | |
| CN110569042B (zh) | 一种支持虚拟机内更新fpga功能的系统,方法,设备及存储介质 | |
| CN111783120A (zh) | 一种数据的交互方法、计算设备、bmc芯片及电子设备 | |
| CN110826099A (zh) | 适用于嵌入式实时操作系统的安全存储方法及系统 | |
| CN114756885A (zh) | 固件加载方法、存储装置及计算机可读存储介质 | |
| CN115688120A (zh) | 安全芯片固件导入方法、安全芯片及计算机可读存储介质 | |
| CN112416525B (zh) | 设备驱动初始化方法、直接存储访问方法及相关装置 | |
| CN112149167B (zh) | 一种基于主从系统的数据存储加密方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |